A Symantec detectou ataques de diversas variantes de uma família de ransomware conhecida como Android.Lockdroid.E, que foram feitas em dispositivos Android usando o ambiente de desenvolvimento integrado Android (AIDE). Apesar de o uso dessas novas técnicas estar limitado a um pequeno grupo, a capacidade de criar malware em dispositivos móveis pode abrir caminhos para o surgimento de novos ataques do mesmo tipo no futuro.
Normalmente, as ferramentas necessárias para criar aplicativos Android estão instaladas num computador, que é o meio mais comum quando se trata de desenvolvimento de aplicativos. Nesse caso específico, os atacantes têm usado ambientes integrados de desenvolvimento (IDEs, do inglês) para projetar, construir, implementar, modificar e assinar variantes de Android.Lockdroid. E diretamente em dispositivos móveis. Vale ressaltar que o AIDE não é malicioso. Trata-se de uma plataforma de aprendizagem legítima, que é usada para desenvolver aplicações móveis diretamente em um dispositivo Android.
Com esse ambiente de desenvolvimento integrado Android (AIDE), os hackers podem tirar vantagem da flexibilidade, capacidade de modificar o código rapidamente e da mobilidade da plataforma para criar variantes de ransomware. Mesmo um desenvolvedor inexperiente, por exemplo, pode modificar apenas algumas linhas do código diretamente no manipulador do dispositivo, como a senha de e-mail, e criar uma nova variante a partir do código existente. Por outro lado, um autor de malware experiente pode usar o software para criar um ransomware, sem a necessidade de um computador portátil. A função típica do ransomware Lockdroid.E é bloquear a tela da vítima. Uma vez instalado no dispositivo móvel, o malware cria uma janela pela qual avisa aos usuários que, caso queiram desbloquear os aparelhos, eles devem entrar em contato com o atacante por meio do serviço de mensagens instantâneas. Em seguida, normalmente é exigido o pagamento de um resgate para que os dispositivos sejam desbloqueados.
Neste caso, a senha necessária para desbloquear o aparelho está codificada dentro de uma variável do código do malware, enquanto a identificação do hacker está embutida em outra variável.
Locky ransomware
Outra nova variante do ransomware, também descoberta recentemente pela Symantec, é conhecida como Locky (Trojan.Cryptolocker.AF). Esse malware apareceu pela primeira vez em meados de fevereiro e tem se espalhado rapidamente por meio de campanhas de spam em massa e sites comprometidos. Em uma ação agressiva, os hackers enviaram milhões de e-mails com spam já no primeiro dia do surgimento desse ransomware. É a principal via de infecção e normalmente os e-mails vêm disfarçados de faturas. Documentos de Word anexados levam um macro malicioso, detectado pela Symantec como W97M.Downloader. Se o usuário abrir esse macro, ele instalará o Locky no computador da vítima.
A campanha de spam do Locky envolveu uma operação em escala maciça. O sistema anti-spam da Symantec bloqueou mais de 5 milhões de e-mails associados a esse ransomware em apenas um dia. O Locky criptografa arquivos nos computadores das vítimas e instala a extensão de arquivo .locky. O valor para resgate dos dados varia entre 0,5 a 1 bitcoin (cerca de US$ 210 a US$ 420).
Visa – iscas para o TeslaCrypt ransomware
O mais recente ataque observado pela Symantec diz respeito a uma suposta campanha de recompensas e benefícios dos cartões de crédito Visa. Na verdade, trata-se de um spam que pretende contaminar os computadores dos destinatários com um ransomware.
O falso e-mail, supostamente enviado pela Visa Total Rewards, traz informações sobre os benefícios do uso de cartões de crédito Visa. No anexo, um arquivo whitepaper traria mais detalhes sobre a campanha, no entanto, ele vem carregado com um arquivo JavaScript disfarçado, detectado como JS.Downloader.
Se o destinatário abrir o arquivo anexo, ele executará uma variante do ransomware TeslaCrypt no computador (detectado como Trojan.Cryptolocker.N), a partir do URL especificado. Poucos minutos depois, aparece uma mensagem informando que todos os arquivos do usuário foram criptografados e, para recuperar o acesso a eles, é preciso pagar um resgate em Bitcoins.
É muito comum o uso de spams relacionados com cartões de crédito em fraudes, principalmente sob a forma de ataques de phishing. A novidade é a utilização desse meio para espalhar um ransomware.
